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(g) Carte k m6moire de masse pour microordinateur. 

L'invention concerne les cartes & m6moire 
®amdviWes ^ plusieurs circuits-integres, pour 
ordinateurs personnels. ^A„„irf. de 

Ces cartes k menfioire serven de •"empire de 
masse de grande capacite destinees S remp a- 
^mIs disquettes et autres supports magnet^ 
^es amov^les. Pour proteger le contenu de 
cartes a memoirs contre une utilisation non 
^toris^e on propose selon Tinvention dincor- 
poS Ha ^rt« (CC) une puce de circuit-int^gre 
sSfique de 56curit6 (MPS) qui accomplit une 
Kion d-habilitation pour I'acces aux puces 
de m^moire (MEM). Un 
Dlac6 egalement dans la carte communique 
Ki'ordinateur et avec le circuit de secur.te. n 
fait valider par la puce de secunt6 un code 
Snfidentiel introduit ^ partir de I'ordinateun Et 
rfoSnit des signaux de contr6le des puces de 
m6moire en fonction du resultat de la valida 
tion. 
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Les cartes ^ memoire de masse amovibles pour 
microord.nateurs (ou ordinateurs personnels ou PC 
de I anglais-personal computer) ont fait leur appari- 
tion r^cemment comme accessoires des ordinateurs 
personnels, surtout pour les ondinateurs portables 
Elles pourraient remplacer dans I'avenir les disquet- 
tes et autres moyens de stockage de masse de type 
magn6tique. Elles peuvent servir de m6moire de 
masse daussi grande capacit6 que les disquettes 
magn6tiques (ordre de grandeur : le million d'octets)- 
leurencombrement n'est pas plus grand (format carte 
de cr6d.t, 6pa.sseur de 3 S 5 millimetres); elles sont 
beaucoup plus rapides d'acc^s (plusieurs milllers de 
fois plus rapides). 

Elles peuvent mSme servir de m6moire vive de 
programme directement executable par le microordi- 
nateur. Dans ce cas, contrairement aux m^moires de 
masse magn6tiques, elles n'ont pas ^ §tre d6char- 
gees dans la m6moire vive (RAM) du PC pour etre 
execut6es ensulte. Les programmes qu'elle contient 
sont executables directement par le PC. 

Les cartes i memoire de masse, parfois appe- 
lees encore PC-Cards, comportent plusieurs puces 
de memoire et un connecteur (connecteur femelle de 
68 broches selon la norme PCMCIA de "Personal 
m^nT^' ^^^"^'^ ^^''^ International Association" 
1030B East Duane Avenue Sunnyvale, California) La 

Z2 ^ -! ^^"."'"^"^ connecteur correspon- 

dan (male) de I'ordinateur. Les connexions sont telles 
que la memoire puisse etre adress6e par un port d'en- 
tree-sortie paralieie du PC, soit comme si la memoire 

T.Tm "^. '^ ""^""^ magn6tique, soit comme 
SI elle etait une extension de m6moire vive de I'ordi- 
nateur. 

f.hi °" 3 pens6 qu'il serait souhai- 

table de securiser autant que possible les cartes ^ 
m6nr.oire de masse pour ordinateurs personnels. En 
effet, leur grande capacite fait qu'elles peuvent conte- 
nir soit des bases de donnees importantes meritant 
d etre protegees en lecture comme en 6criture soit 
des programmes couteux qu'on ne souhaite pas voir 
u^hser ou dupliquer sans autorisation; ou enfin, elles 

r!!' ^ tmnsactions confiden- 

tielles selon des programmes plus sophistiqu6s que 
ceux qui existent actuellement. ou impliquant des 
quantites de donnees plus importantes que ce que 
peuvent stocker les simples cartes ^ puces de tran- 
sactions s6curisees qui ne comportent qu'une puce 
Les solutions actuellement disponibles pour as- 
surer une certaine securite sont les suivantes • 

- d'abord on peut utiliser les mSmes types de 
protection que pour les m6moires magn6ti- 
ques; parmi celles-ci il y a la possibilite de ca- 
cher les fichiers par des attributs logiciels qui 
les rendent invisibles pour I'utilisateur lorsque 
celui-ci cherche d y acceder par le mlcroordina- 
teur. C'est une solution classique pour les PC 
fonctionnant sous syst6me DOS. Mais on salt 
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qu un utilisateur averti peut facilement tourner 
ces protections en accedant de manidre logi- 
cielle aux attributs des fichiers et en les modi- 
f lant. Cela ne constitue done qu'une protection 
sommaire; 

- il y a ensuite toutes les protections classiques 
util,s6es parlesfabricants delogiciels pourpro- 
teger ceux-ci centre la copie. Ces solutions 
sont plus ou moins eff icaces, et ne servent en 
tout cas pas k prot6ger centre rutilisation- 

- est connue enfin rutilisation de cartes puces 
de s6curit6 pour prot6ger un ordinateur (ou 
d autres appareils) centre une utilisation par un 
titulaire non habilit6. Cette solution va Stre rap- 
pel6e plus en detail ci-apr6s. 

Pour assurer une autorisation d'acc6s ^ un PC on 
a propose d'adjoindre aux PC un lecteur de carte S 
puce de securite : le lecteur de carte a puce est 
ccnnecte au PC; c'est d'ailleuis le clavier et I'^cran de 
ordinateur qui servent d'interface pour assurer 
I echange de donn6es en vue des operations d'auto- 
nsation; la carte S puce comporte une puce unique 
qui est un module de security. La securite consiste i 

25 n« , J ''"""sateur ne fournit 

25 pas les codes de conf identialite adequate. Ces codes 
sont introduits a partir du clavier du PC, selon un pro- 
tocole d echange specialement prevu entre le PC et 
la carte. C'estle PC dont rutilisation est^ protegerqui 
30 r;J'"'-T,7^«^^'^^--"'--'esechanges. LacaJte 
30 ^ puce ne fait pas partie du PC. L'utilisateur emporte 
sa carte de securite apres avoir utilise I'appareil pour 
ne pas en laisser la libre disposition d un tiers non au- 
tonse; la securite repose en effet essentiellement sur 

3s rZ°TT,°'' 'a carte et d'un code 

35 confidentiel attribue a cette carte. 

Si on veut proteger maintenant non pas le PC 

dans son ensemble (car on veut qu'il puisse servir ^ 

d autres pour des utilisations courantes) mais la carte 

^ mernoire de masse qu'on va lui raccorder, il faut pre- 

40 voir alors que la carte de securite connectee au L- 

teur de carte associe au PC va provoquer non pas I'in- 

terdiction totale de fonctionnement du PC mais selec- 

tivement I'interdiction de fonctionnement du port au- 

quel est raccordee la carte ^i memoire de masse 

On pense cependant que cette solution presente 

des inconvenients et n'assure pas une securite suffi- 

sante contre une utilisation non souhaitee de la carte 

Selon I'invention, on propose une solution origl- 

50 mJ! ^ '"""'P^'^^ ^ '^^^'^ ^ "i^moire de 

50 masse aniovible elle-mgme (qui comporte plusieurs 
crcuits-integres de memoire) au moins un circuit in- 
tegre de securite apte ^i controler I'acces aux zones 
de memoire de la memoire de masse 

« ®" P""^'Pe fo"c«on d'infor- 

55 mations d habllitation que l'utilisateur doit fournir par 
I in termediaire de I'ordinateur (code confidentiel intro- 
duit au clavier ou autre mode d'habilitation) 

Par circuit de s6curite on entend ici une puce de 
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t^risee en ce que le circuit de securite (MPS) est 
une puce de circuit integre unique comportant 
une memoire non volatile avec des informations 
confidentielles qui ne peuvent pas etre transmi- 
ses sur les bornes ext6rieures du circuit-int6gr6, 5 
et une circuiterie de s6curit6 programm^e, apte i 
utiliser ces informations confidentielles et d'au- 
tres informations fournies par I'utilisateur, pour 
d6livrer des instructions de validation apres veri- 
fication d'une relation pred^terminee entre ces io 
deux types d'information. 

Carte ^ memoire selon Tune des revendications 
1 et 2, caract§ris6e en ce qu'elle comporte une 
puce de microcontroleur (MPC) avec des pro- is 
grammes en memoire non volatile pour controler 
le circuit de securite (MPS), lui faire executer des 
taches de verification d'habilitation et utiliser les 
signaux emis par ie circuit de s6curite pour 
contrdler I'acces aux zones de memoire en fonc- 20 
tion de ces signaux. 

Carte ^ memoire selon I'une des revendications 
pr^cedentes, caract^risee en ce que des moyens 
sont prevus pour executer un programme de 25 
cryptage des donnees introduites dans la memoi- 
re et un programme de decryptage des donnees 
extraites de la memoire, le programme de cryp- 
tage et le programme de decryptage 6tant execu- 
tables seulement apres fourniture de signaux 30 
d'habilitation par le circuit de securite. 

Carte ^ memoire selon la revendication 4, carac- 
terise en ce que les programmes de cryptage et 
de decryptage sont executables a I'aide d'une cl6 35 
de cryptage contenue dans le circuit de security. 

Carte a memoire selon I'une des revendications 
1 ^ 3, caracteris6e en ce que le module de secu- 
rite comporte un fichier de signatures calcufees 4o 
de f ichiers a proteger contenus dans la memoire 
(MEM), et en ce que la carte comporte des 
moyens pour verifier que la signature d'un fichier 
determine est bien la meme que la signature 
stockee dans le module de security. 45 
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la figure 1 , transportant ou non les signaux de contro- 
le tels que re?us du PC selon les autorisations don- 
nees parle microcontroleur. 

Les signaux de controle transport's sur le bus 
SC3 sont appliques au circuit d'aiguillage AA qui a 6t6 
represent' partiellennent sur la figure 2. 

Le circuit d'aiguillage est control' par un signal 
d'aiguillage SGA. Selon T'tat de ce signal, on trans- 
f^re vers le bus SC (c'est-^-dire vers la m'moire 
MEM) soit les signaux de controle Issus du bus SC3 
(par exemple RD3, WR3, etc.) done du PC sous 
contrCle du microcontroleur, soit les signaux de 
contrdle (RD2, WR2, etc.) issus du microcontrdleur 
lui-meme. 

Par exemple, pour Taiguillage des signaux de 
controle de lecture RD, una porte ET regolt RD3 etest 
command'e par le signal SGA; une autre regoit RD2 
et est command'e par le complement logique de 
SGA, et une porte OU revolt les sorties de ces deux 
portes etfournit le signal de lecture RD; ce signal est 
soit RD2 soit RD3 selon Tetat de SGA. 

L'action du circuit de verrouillage CV a et6 repre- 
sentee sur les signaux de controle uniquement, mais 
on comprendra, conformement ^ I'architecture dessi- 
nee sur la figure 1 , qu'elle peut s'exercer aussi sur les 
bits d'adresse envoyes par le PC. 

Dans une structure de securite renforcee, les 
donn'es stockees dans la memoire sont cryptees au 
moyen d'une cle secrete. La cie secrete de decryp- 
tage n'est pas connue de I'utilisateur. Elie est conte- 
nue dans le module de securite. Sur presentation d'un 
code d'habilitation valable, le module de security four- 
nit la cle secrete au microcontrdleur MPC qui peut 
alors executer un programme de decryptage des don- 
nees de memoire et les transmettre au PC sous forme 
d6chiffr6e. On s^assure ainsi que les donnees 
stockees dans la memoire ne sont pas copiables uti- 
lement par une personne non habilitee. L'inscription 
de donnees dans la memoire peut aussi se faire de 
maniere crypt'e avec la meme cle de cryptage, et 1^ 
encore seulement apr's reconnaissance de I'habilita- 
tion de Tutilisateur. 

On notera qu'on ne fait pas sortir des donn'es 
sous forme cryptee comme c'est le cas dans certai- 
nes applications de securite, mais on crypte les don- 
nees stockees ^ I'interieur de la carte a memoire pour 
qu'une copie de ces donnees soit inutilisable par quel- 
qu'un qui n'est pas habilite. 

Cela veut dire en particulier que meme si on for- 
fait frauduleusement le signal SGA ou les signaux 
RD, WR, pour lire les donnees de la carte, ces don- 
nees resteraient inexploitables. 

Des variantes de I'invention sont possibles : par 
exemple, on peut prevoir soit que les adresses et don- 
nees transitent librement du PC vers les memoires et 
inversement lorsque I'habilitation a ete donnee, soit 
que les adresses et/ou les donnees transitent tou- 
jours par le microcontroleur. 



Dans cette realisation, on a suppose, pour des 
raisons pratiques de communication rapide avec le 
PC que les entrees-sorties de la carte constituent un 
connecteur paralieie au standard PCMCIA. Mais dans 

5 certains cas, on peut imaginer que la sortie se fait sur 
un connecteur^ contacts affleurants au standard ISO 
7816, ne comportant que quelques contacts, parmi 
lesquels un seul contact d'entree-sortie en mode de 
communication sehe. On obtient ainsi une carte ^ me- 
re moire securis6e de grande capacite au standard des 
cartes de credit, inserable dans un lecteur de carte de 
credit classique ^ la seule condition que repaisseur 
de la carte dans la region qui devra etre ins'ree soit 
assez mince pour entrer dans la fente du lecteur. Une 

15 zone de carte amincie pourra etre prevue si c'est ne- 
cessaire; cette zone portera les contacts affleurants 
au standard ISO 7816. 

Pour terminer cette description, on peut donner 
un exemple de fonctionnement avec securite renfor- 

20 cee dans lequel certains f ichiers de la memoire MEM 
sont encore plus proteges. A chaque fichier protege 
est associe une certaine "signature" qui represente 
ce fichier et qui est alteree si le fichier est modif le. 
Cette signature est constituee ^ partir du contenu du 

25 fichier lui-meme : par exemple c'est la concatenation 
de tous les bits du fichier. Cette signature est stockee 
dans une memoire non volatile et non accessible du 
module de securite. Lorsque le fichier doit etre utilise 
(et tout particulierement dans le cas ou il va servir de 

30 programme executable par le microcontroleur MPC), 
on va d'abord verifier qu'il n'y a pas eu alteration du 
fichier. S'il y a eu alteration, on empechera toute uti- 
lisation. Pour cela, le microcontrfileur va d'abord re- 
calculer la signature du fichier (auquel il a ace's); II 

35 va demander au module de securite quelle est la si- 
gnature attendue; puis faire la comparaison et ne va- 
lider I'utilisation que si les signatures se correspon- 
dent. La comparaison pourrait aussi se faire k I'inte- 
rieur du module de securite. II peut y avoir dans le mo- 

40 duie de securite autant de signatures stockees que de 
fichiers a proteger. II y a done dans le module de se- 
curite une "image" des fichiers ^ proteger de la me- 
moire MEM, sous forme d'un fichier de signatures 
correspondant aux diverses parties a proteger. 

45 

Revendtcations 

1. Carte a memoire (CC) ^ plusieurs circuits-inte- 
50 gres de memoire constituant une memoire de 

masse amovible pour un mieroordinateur (PC), 
caracterisee en ce qu'elle comporte en outre une 
puce de circuit-integre specif ique (MPS) pour as- 
surer la securite centre race's ^ au moins certai- 
55 nes zones de memoire par un utilisateur du mi- 

eroordinateur qui n'est pas habilite ^ cet ace's. 

2. Carte k memoire selon la revendleation 1 , earae- 
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Le microcontroleur MPC a done la possibility d'in- 
terdlre electroniquement et s6lectivement I'acces en 
lecture ou en ecriture d certaines parties de la m6moi- 
re MEM de la carte. 

Pour terminer la description gen6rale de I'archi- 
tecture de la figure 1, on signalera encore les points 
suivants : 

- le microcontrdleur MPC peut acc6der ^ volenti 
^ ia nnemoire MEM; le plus sinnple est de pr6voir 
que cette nnemoire est ^ double acces et c'est 
pourquoi on a represents un bus d'adresse 
AD2 et un bus de donn6es BD2 entre le micro- 
controleur et la memoire; mais cette solution 
n'est pas obligatoire, une memoire ^ simple ac- 
ces etant egalement possible; 

- racers par le microcontroleur MPC k la memoi- 
re se fait ^ I'aide d'un bus de signaux de contro- 
le SC2 issu du microcontroleur, mais, comme 
on I'a dit, ce bus transite ^ travers le circuit d'ai- 
guillage AA; cette disposition vise ^ permettre 
un focntionnement du microcontroleur en cir- 
cuit ferme avec la memoire MEM pendant cer- 
taines phases de programmes; 

- un signal d'aiguillage general SGA, issu du mi- 
crocontroleur MPC commande I'aiguillage AA, 

- enfin, dans le cas general ou des demandes 
formuldes par le PC exterieur transitent syste- 
matiquement par la memoire MEM avant 
d'aboutir au microcontroleur pour etre interpre- 
t6es et ex6cutees, 11 est utile de prevoir que les 
ordres d'echture WR1 issus du PC sont appli- 
ques directement au microcontroleur MPC; de 
cette mani6re, ce dernier peut savoir qu'une 
demands a et6 faite et peut aller chercher 
eventuellement une instruction ^ interpreter; 
c'est pourquoi une connection directe WR1 a 
ete representee entre le connecteur CNC et le 
microcontroleur. 

L'acces a certaines zones de memoire (certaines 
puces par exemple ou certaines zones de puces) est 
autorise par le microcontroleur MPC en fonction de 
criteres de s6curit6 predefinis et en fonction de 
confirmations donnees par le module de securite. 

Le module de securite est par exemple la puce de 
circuit integre du composant vendu par SGS-THOM- 
SON sous la reference ST1 6612, a laquelle est incor- 
pore le programme de memoire non volatile MCOS de 
la societe GEMPLUS. Ce composant possSde les 
particularites suivantes : les donnees de memoire 
sont invisibles pour Tutilisateur car elles ne transitent 
pas surles entrees-sorties de la puce. Elles sont ega- 
lement invisibles optiquement (masquees). La puce 
comporte un microprocesseur et lui seul peut aller 
chercher et traiter des donn6es en memoire. Les pro- 
grammes de memoire morte sont realises par mas- 
quage, lis ne sont done pas modifiables. Ces pro- 
grammes n'autorisent pas l'acces ^ toutes les zones 
de memoire de la puce. Lorsqu'un code secret d'ha- 
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bilitation est presents sur les entrees de la puce, il est 
traite par le microprocesseur qui fournit en r6ponse 
des signaux d'habilitation ou dMnterdiction, et ^ aucun 
moment la nature du traitement de verification ne peut 
5 etre dStectSe sur les bornes d'entr6e/sortie de la 
puce. 

La procedure se d6roule par exemple de la ma- 
niSre suivante : I'insertion de la carte d memoire de 
masse dans I'ordinateur dSclenche les operations 
10 suivantes : demande par le PC du code conf identiel 
d*habilltation du titulaire; ce code est introduit par Tuti- 
lisateur sur le clavier du PC selon un protocole de 
communication paralieie standard pour un PC. II est 
transmis au processeur de controle MPC de la carte 
15 et retransmis par celui-ci vers le module de securite 
MPS dans un format comprehensible par celui-ci (en 
Principe par consequent sous forme serie sur la seule 
borne d'entree/sortie disponible sur la puce MPS). Le 
module de securite verifie le code confidentiel et 
20 transmet au processeur de controle un mot de contro- 
le traduisant retat des autorisations donnees (inter- 
diction totale, autorisation totale, autorisation partielle 
de certaines zones de memoire par exemple). Le pro- 
cesseur de controle MPC regoit ce mot sous forme 
25 serielle et etablit alors sur le bus SH les signaux d'ha- 
bilitation correspondants (SHA, SHB, SHC, SHR, 
SHW ...) qui commandent l'acces aux diverses puces 
de memoire. Puis le processeur de controle renvoie 
vers le PC un mot d'etat indiquant que la procedure 
30 de securite a ete effectuee et Indiquant le resultat de 
cette procedure. 

Dans ce systeme on comprend que c'est le micro- 
controleur MPC qui gere les programmes de securite 
de la carte a memoire. II def init les autorisations et les 
35 interdictions, et utilise le module de securite comme 
organe specialise de verification d'une habilitation 
par code confidentiel. Aucune operation de securite 
d 'acces n'est geree par le PC. 

Les circuits de verrouillage et d'aiguillage CV et 
40 AA sont des circuits de logique cabiee extremement 
simples. Un exemple en est donnee ^ la figure 2 pour 
faciliter la comprehension du principe de Tinvention. 

On suppose par exemple que l'acces aux diver- 
ses puces de memoire en lecture et en ecriture exige 
45 la presence de signaux de selection de puces ("chip 
enable") CEa, CEb, CEc pour les puces A, B, C res- 
pectivement, et la presence d'ordres de lecture RD ou 
d'ecriture WR. Les signaux CEa, CEb, CEc forment 
done dans cet exemple le contenu du bus de controle 
50 SC aboutissant ^ la memoire MEM. 

Des demandes d'acces sont formulees par le PC 
exterieur sous formes de signaux CEa1 , CEb1 , CEc1 , 
RD1, WR1 sur le bus SC1. Des signaux SHA, SHB, 
SHC, SHR, SHW sont presents sur le bus d'habilita- 
55 tion SH. Chacun de ces signaux commande I'ouver- 
ture ou la fermeture d'une porte ET respective; cha- 
cune des portes revolt un signal de contrdle respectlf. 
Les sorties de ces portes constituent le bus SC3 de 

5 
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ci-apr6s PC pour "personal computer"); !a carte 
comporte un connecteur enfichable standard CNC, 
de pr6f6rence du type d6fini par la norme PCMCIA et 
le PC comporte un connecteur correspondant pour 
recevoir la carte. 

La carte est une carte ^ m6moire, c'est-^-dire 
qu'elle est destin^e d servir principalement k stocker 
des donnees. Pour cette fonction, la carte comporte 
soit plusieurs types de m6moire dtfferents (RAM sta- 
tique ou dynamique, ROM, EPROM, EEPROM, 
FLASHEPROM sont les types les plus courants) soit 
un seul type de memoire. SI les memoires sont des 
m6molres RAM, par essence volatiles, on peut pr6- 
voir une pile d'alimentation de secours pour la sauve- 
garde des donnees. 

Pour obtenir une plus grande capacity de stocka- 
ge, plusieurs puces de circuit-int6gr6 sont prevues, 
chacune etant une puce de memoire. Ces puces sont 
globalement designees sous la reference MEM. II 
peut y avoir plusieurs dizaines de puces sur la carte 
pour des grandes capacites de stockage (plusieurs 
m^gaoctets par exemple). 

La carte CC est un organe periph^rique amovible 
de I'ordinateur PC. Elle peut §tre utilisee soit comme 
peripherique de stockage de masse, soit comme ex- 
tension de memoire vive. C'est I'ordinateur qui g^re 
ce choix (lorsqu'un choix est possible, c'est-a-dire 
surtout lorsqu'il y a plusieurs types de memoire dans 
la carte). 

Outre les memoires MEM, la carte comporte, se- 
lon I'invention, un module de securite, qui est une 
puce de circuit-int^gre MPS comportant un micropro- 
cesseur, de petites memoires, et des programmes 
pour ie fonctionnement du microprocesseur; ce mo- 
dule a pour fonction essentielle d'assurer la securite 
d'accds aux memoires MEM a partir de I'ordinateur. 

De preference, la carte CC comprend encore une 
puce supplementaire qui est un processeur de contro- 
le ou microcontroleur MPC, c'est-^-dire un micropro- 
cesseur auquel sont associees des memoires de pro- 
grammes. Ce microcontroleur MPC a pour fonction 
remission de signaux de controle d'accfes aux puces 
de memoire en fonction d'informations de security 
donnees par le module de securite MPS et en fonc- 
tions de requetes d'acc^sfaites ^ partir du PC. On no- 
tera que ce microcontroleur poss6de des sorties de 
donnees en parall^le pour fournir directement plu- 
sieurs signaux de controle a destination des memoi- 
res. Le module de security n'a quant a lui en principe 
que des sorties de donnees en serie sur une seule 
borne d*entr6e/sortie, et c'est la raison pour laquelle 
deux puces differentes MPS et MPC sont prevues 
avec chacune un microprocesseur. Si le module MPS 
avait des sorties de donnees parailfeles on pourrait se 
dispenser de la puce MPC; les fonctlons de ces deux 
circuits seraient accomplies par un seul circuit ei mi- 
croprocesseur comportant des memoires de pro- 
grammes correspondant aux differentes fonctions d 



accomplir. 

Le module de security MPS agit comme "esclave" 
par rapport k un "maitre" qui est le microcontroleur 
MPC. 

5 Les memoires MEM sont connect6es au'PC par 

I'intermediaire de plusieurs bus : un bus d'adresse, 
un bus de donnees, et un bus de signaux de controle. 
Toutefois, ces bus sont contr6l6s par un circuit de 
verrrouiilage CV, lui-meme control^ par le microcon- 

10 tr6leur MPC, de mani^re que Tacc^s aux memoires 
ne soit pas completement libre, sauf si Tautorisation 
en est donn6e par le microcontroleur MPC. 

Dans I'exemple represents, on a suppose que le 
circuit de verrouillage CV agit sur le bus d'adresse et 

15 sur le bus de signaux de contr6le mais pas sur le bus 
de donnees. D'autres solutions sont cependant pos- 
sibles. 

C'est pourquoi on a represents d'une part un bus 
de donnees BD1 allant directement du connecteur 

20 CNC ^ !a memoire MEM; d'autre part un bus d'adres- 
se allant du connecteur k la memoire et interrompu 
par le circuit de verrouillage CV; ce bus est refSrencS 
AD1 en amont du circuit de verrouillage (du c6t6 du 
connecteur) et ADS en aval (du cote de la mSmoire); 

25 enfin, un bus de signaux de contrdle (SC1 en amont; 
SC3 en aval) Sgatement interrompu par le circuit de 
verrouillage CV. On remarquera provisoirement qu*un 
autre circuit (circuit d'aiguillage AA) est interposS en- 
tre le bus SC3 et la mSmoire. II a pour fonction d'ai- 

30 guiller vers la memoire soit les signaux de controle du 
bus SC3 en provenance du PC, soit des signaux de 
controle d'un bus SC2 en provenance du microcontro- 
leur MPC. On reviendra sur ce point plus loin. Le bus 
de signaux de controISs aboutissant finalement k la 

35 mSmoire est dSsigne par SC, en aval du circuit d'ai- 
guillage. 

A titre d'exemple illustratif simplifiS, on peut 
considSrer par exemple que les bus de controle SC1, 
ou SC2 ou SC3 ou SC transportent des signaux tels 

40 que des ordres de lecture (RD1, RD2, RD3, RD) ou 
d'ecriture (WR1, WR2, WR3, WR) ou des ordres de 
selection d'une puce parmi plusieurs (CEa1, CEa2, 
CEa3, CEa pour la selection d'une puce de mSmoire 
A parmi plusieurs puces A, B, C; ou CEb1, CEb2, 

45 CEb3, CEb pour la puce B, etc.). 

Le circuit de verrouillage CV est directement 
controle par un bus d'habilitation SH issu du micro- 
controleur MPC. Ce bus transporte des signaux d'au- 
torisation ou d'interdiction de passage des signaux de 

50 controle ou d'adresse qui transitent a travers le circuit 
de verrouillage CV. Atitre d'exemple toujours, on peut 
imaginer qu'il y a un signal d'habilitation de lecture 
SHR, un signal d'habilitation d'Scriture SHW, des si- 
gnaux d'habilitation pour chaque puce de memoire, 

55 SHA pour la puce A, SHB pour la puce B, SHC pour 
la puce C. 

La particularity est que les signaux d'habilitation 
sont directement issus du microcontroleur MPC. 
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circuit-integr6 unique comportant une memoire non 
volatile avec des informations confidentielles qui ne 
peuvent pas etre transmises sur les bornes exterieu- 
res du circuit-int6gr6, et une circuiterie de securite 
programm6e, apte a utiliser ces informations confi- s 
dentielles et d'autres informations fourntes par I'utili- 
sateur, pour d6livrer des instructions de validation 
apres verification d*une relation pred6termin6e entre 
ces deux types d'information; les donn6es confiden- 
tielles ne sortent pas a I'exterieur du circuit integre. io 

Ce circuit de security est de preference le meme 
que le circuit unique d'une carte k puce d'habilitation 
(celle dont on a parle plus haut et qui peut servir ^ au- 
toriser le fonctionnement d'un ordinateur lorsque le ti- 
tulaire Tintroduit dans I'ordinateur). Mais ici, on n*uti- 15 
lise pas une carte d'habilitation amovible servant a 
autoriser le fonctionnement de Tordinateur ou du port 
de connexion avec la memoire de masse. On place di- 
rectement une puce de s6curit6 dans la memoire de 
masse pour securiser le contenu de celle-ci. 20 

II faut noter que les puces de securite utilisees 
pour proteger en lecture ou Venture les donnees 
d*une memoire ne servaient jusqu'^ present qu'a pro- 
teger le contenu de la memoire interne de la puce elle- 
meme, utilisant le fait que dans le cas d'une puce uni- 25 
que les donn6es k proteger ne sont pas transmises en 
dehors de la puce. Et il ne s'agissait d'ailleurs pas de 
memoires de masse mais de tr6s petites memoires, 
justement parce que ces memoires etaient placees 
dans la puce. Et par ailleurs les puces de securite uti- 30 
lis^es pour proteger d'autres appareils etaient incor- 
por^es ^ une carte de securite distincte de I'appareil 
^ proteger, carte que I'utilisateur habilite transporte 
avec lui et ne latsse pas dans Tappareil ^ proteger. Ici, 
on n'utilise pas de carte ^ puce distincte de I'appareil 35 
^ prot6ger et transportable a distance de I'appareil k 
proteger, mais plutot une puce de circuit-lntegre mon- 
t6e de maniere inamovible dans la carte a memoire 
dont I'utilisation doit etre protegee. 

Par cette disposition on atteint une protection de 40 
fichiers, en lecture et/ou en ecriture bien superieure 
^ celle qui est obtenue par les moyens standards (de 
type logiciel : fichiers caches) de protection de fi- 
chiers d'ordinateurs personnels. 

La puce de securite (appelee ci-apres egalement 45 
module de securite) controle (directement ou indirec- 
tement) les moyens d'acces aux differentes puces de 
memoire de la carte. 

En pratique, on preferera utiliser une puce de se- 
curite de type standard, c'est-^-dire du type utilise 50 
dans les cartes de securite d'acces a des appareils ou 
des locaux, ou encore dans les cartes de transactions 
s^curisees; ces puces utilisent un mode de commu- 
nication serie; elles n'ont en general que six ou huit 
plots de connexion avec I'exterieur, dont un seul plot 55 
de communication de donn6es ou d'instructions. 

On pref^re alors placer dans la carte ^ memoire 
une puce suppl6mentaire constituant un processeur 



de controle de la carte. Ce processeur ou microcon- 
troleur aura pourfonction de r^aliser une interface en- 
tre le connecteur de la carte et la puce de security, et 
une interface entre la puce de s6curite et les puces 
de memoire. En pratique, le deroulement d'un pro- 
gramme de verification de I'habilitation d'un titulaire 
pourra se faire sous la commande du processeur de 
contrfile; ce programme pourra alors etre contenu 
dans une memoire de programme faisant partie de la 
meme puce que le processeur de contrdle; ou alors 
ce programme pourra etre contenu 6ventuellement 
dans une partie de la memoire de masse elle-meme, 
si cette partie est connect^e ^ un bus executable du 
processeur de controle. 

La puce de securite comporte elle-m^me un mi- 
croprocesseur et des memoires, avec parmi ces me- 
moires des memoires non volatiles programmables 
electriquement et eventuellement effa^ables electri- 
quement. Le programme de fonctionnement de ce mi- 
croprocesseur est en principe enregistre dans une 
memoire morte de la puce; mais il peut etre egale- 
ment partiellement enregistre dans une memoire non 
volatile programmable et effa^able electriquement 
Le contenu de certaines au molns des memoires non 
volatiles n'est pas accessible en lecture sur les bor- 
nes exterieures de la puce. Ce contenu est utilise ex- 
clusivement par le micro processeur pour ses besoins 
propres, et notamment pour I'execution de program- 
mes de securite faisant intervenir des codes secrets 
places dans ces memoires inaccessibles. 

On peut par exemple envisager que la memoire 
de donnees confidentielles de la puce de securite 
contienne un mot d'habilitation pour chaque zone me- 
moire de la memoire de masse : s'il y a 24 puces me- 
moires il peut y avoir 24 mots d'acces differents; il 
peut aussi y avoir des hierarchies d'acces pour I'ac- 
ces ^ plusieurs zones de memoire. 

Par ailleurs, pour une securite renforcee, on peut 
prevoir que les donnees stockees dans la memoire de 
masse sont cryptees et que le module de securite 
comporte un programme de cryptage et decryptage. 
Les donnees de la memoire peuvent alors etre 
communiquees ^ travers le module de securite (en 
lecture ou en ecriture). Le module de securite peut ef- 
fectuer lui-meme le cryptage ou le decryptage; mais 
il peut aussi fournlr une cie de calcul au processeur 
de controle qui effectuera alors lui-meme le cryptage 
et le decryptage (seulement en presence d'une habi- 
litation reconnue par la puce de securite). 

D'autres caracteristiques et avantages de I'inven- 
tion apparaitront a la lecture de la description detailiee 
qui suit et qui est faite en reference aux dessins an- 
nexes dans lesquels: 

- la figure 1 represente I'architecture de la carte 
ci memoire de masse selon I'invention; 

- la figure 2 represente un detail de circuit. 

La carte CC representee ^ la figure 1 est destinee 
k etre inseree dans un ordinateur personnel (appeie 
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